Windows安全系统配置要求规范

实用文档

2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”： 查看是否“账户锁定阀值”设置为小于等于 6次 补充说明： 设置不当可能导致账号大面积锁定，在域环境中应小心设置，Administrator 账号本身不会被锁定。

2.3 授权

编号：1

要求内容 操作指南 本地、远端系统强制关机只指派给Administrators组。 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: “关闭系统”设置为“只指派给Administrators组” “从远程系统强制关机”设置为“只指派给Administrators组” 检测方法 1、判定条件 “关闭系统”设置为“只指派给Administrators组” “从远端系统强制关机”设置为“只指派给Administrtors组” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”: 查看“关闭系统”设置为“只指派给Administrators组” 查看是否“从远端系统强制关机”设置为“只指派给Administrators组” 编号：2

要求内容

在本地安全设置中取得文件或其它对象的所有权仅指派给实用文档

Administrators。 操作指南 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”： “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 检测方法 1、判定条件 “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”： 查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组” 编号：3

要求内容 操作指南 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。 1、参考配置操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 检测方法 1、判定条件 “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 2、检测操作 进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 查看是否“从网络访问此计算机”设置为“指定授权用户”

实用文档

2.4 补丁

编号：1

要求内容 在不影响业务的情况下，应安装最新的Service Pack 补丁集。对服务器系统应先进行兼容性测试。 操作指南 1、参考配置操作 安装最新的Service Pack补丁集，以及最新的Hotfix补丁。 目前Windows XP的Service Pack为SP3。 Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2 检测方法 1、判定条件 2、检测操作 进入控制面板->添加或删除程序->显示更新打钩，查看是否XP系统已安装SP3，Win2000系统已安装SP4，Win2003系统已安装SP2。 同时检查所有的hotfix，并查看系统安装的最后一个补丁的 发布日期是否与最近最新发布的补丁日期一致。

2.5 防护软件

编号：1（可选）

要求内容 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。 操作指南 1、参考配置操作（以启动自带防火墙为例） 进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中 启用Windows防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

实用文档

检测方法 1、判定条件 启用Windows防火墙。 “例外”中允许接入网络的程序均为业务所需。 2、检测操作 进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中，查看是否启用Windows防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

2.6 防病毒软件

编号：1

要求内容 操作指南 安装防病毒软件，并及时更新。 1、参考配置操作 安装防病毒软件，并及时更新。 检测方法 1、判定条件 已安装放病毒软件，病毒码更新时间不早于1个月，各系统病毒码升级时间要求参见各系统相关规定。 2、检测操作 控制面板->添加或删除程序，是否安装有防病毒软件。打开防病毒软件控制面板，查看病毒码更新日期。 2.8日志安全要求

编号：1 要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 操作指南 1、参考配置操作

实用文档

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，设置为成功和失败都审核。 检测方法 1、判定条件 审核登录事件，设置为成功和失败都审核。 2、检测操作 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。 编号：2

要求内容 操作指南 开启审核策略，以便出现安全问题后进行追查 1、参考配置操作 对审核策略进行检查： 开始-运行-gpedit.msc 计算机配置-Windows设置-安全设置-本地策略-审核策略 以下审核是必须开启的，其他的可以根据需要增加： ? ? ? ? ? ? ? 审核系统登陆事件 审核帐户管理 审核登陆事件 审核对象访问 审核策略更改 审核特权使用 审核系统事件 成功，失败 成功，失败 成功，失败 成功 成功，失败 成功，失败 成功，失败 2、补充说明 可能会使日志量猛增 检测方法 1、判定条件 尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是否会有相关记录，或通过其他手段激化以配置的审核策略，并观察日志中的记录情况，如果存在记录条目，则配置成功。